Microsoft Sentinel에 대한 AMA 마이그레이션

이 문서에서는 기존 레거시 MMA/OMS(Log Analytics 에이전트)가 있고 Microsoft Sentinel을 사용하는 경우 AMA(Azure Monitor 에이전트)로 마이그레이션 프로세스를 설명합니다.

Log Analytics 에이전트는 2024년 8월 31일부터 사용 중지됩니다. Microsoft Sentinel 배포에서 Log Analytics 에이전트를 사용하는 경우 AMA로 마이그레이션하는 것이 좋습니다.

필수 조건

• 이 마이그레이션 프로세스에 대한 에이전트 비교 및 일반 정보를 제공하는 Azure Monitor 설명서부터 시작합니다. 이 문서에서는 Microsoft Sentinel에 대한 구체적인 세부 정보와 차이점을 제공합니다.

Azure Monitor 에이전트로 마이그레이션

각 조직에는 성공 및 내부 마이그레이션 프로세스에 대한 다양한 메트릭이 있습니다. 이 섹션에서는 특히 Microsoft Sentinel을 위해 Log Analytics MMA/OMS 에이전트에서 AMA로 마이그레이션할 때 고려해야 할 권장 지침을 제공합니다.

마이그레이션 프로세스에 다음 단계를 포함합니다.

1. Azure Monitor 설명서에 설명된 대로 필요한 필수 구성 요소 및 기타 고려 사항을 검토했는지 확인합니다. 자세한 내용은 시작하기 전에 참조하세요.

2. 개념 증명을 실행하여 AMA가 개발 또는 샌드박스 환경에서 Microsoft Sentinel로 데이터를 보내는 방법을 테스트합니다.

   1. Microsoft Sentinel에서 Windows 보안 이벤트 Microsoft Sentinel 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

   2. Windows 머신을 Windows 보안 이벤트 커넥터에 연결하려면 Microsoft Sentinel의 AMA 데이터 커넥터 페이지를 통해 Windows 보안 이벤트로 시작합니다. 자세한 내용은 Windows 에이전트 기반 연결을 참조하세요.

   3. 레거시 에이전트 데이터 커넥터 페이지를 통해 보안 이벤트를 계속 진행합니다. 지침 탭의 구성>2>단계에서 스트리밍할 이벤트를 선택하고 없음을 선택합니다. 이렇게 하면 MMA/OMS를 통해 보안 이벤트를 받지 않도록 시스템이 구성되지만, 이 에이전트를 사용하는 다른 데이터 원본은 계속 작동합니다. 이 단계는 현재 Log Analytics 작업 영역에 보고하는 모든 머신에 영향을 줍니다.

   Important

   두 가지 유형의 에이전트를 사용하여 동일한 원본에서 데이터를 수집하면 Microsoft Sentinel 작업 영역에서 이중 수집 요금과 중복 이벤트가 발생합니다.

   두 데이터 커넥터를 동시에 실행해야 하는 경우, 벤치마킹 또는 테스트 비교 작업을 위해 제한된 시간 동안만 별도의 테스트 작업 영역에서 실행하는 것이 좋습니다.

3. 개념 증명의 성공을 측정합니다.

   이 단계를 지원하려면 작업 영역에 보고하는 서버와 레거시 MMA, AMA 또는 두 에이전트가 모두 설치되어 있는지를 표시하는 AMA 마이그레이션 추적기 통합 문서를 사용합니다. 이 통합 문서를 사용하여 머신에서 이벤트를 수집하는 DCR과 수집 중인 이벤트를 볼 수도 있습니다.

   사용자 환경에 대한 데이터를 표시하려면 통합 문서의 맨 위에 있는 구독 및 리소스 그룹을 선택해야 합니다. 예시:

   

   자세한 내용은 Microsoft Sentinel에서 통합 문서를 사용하여 데이터 시각화 및 모니터링을 참조하세요.

   성공 조건에는 동일한 호스트의 MMA/OMS 및 AMA 에이전트가 수집한 양적 데이터의 통계적 분석과 비교가 포함되어야 합니다.

   • 환경에 대한 일반 워크로드를 나타내는 미리 정의된 기간 동안의 성공을 측정합니다.

   • 테스트하는 동안 Linux 멀티 호밍, Windows 이벤트 필터링 등 AMA에서 제공하는 새로운 기능을 각각 테스트해야 합니다.

   • 조직의 위험 프로필과 변경 프로세스에 따라 프로덕션 환경의 AMA 에이전트 롤아웃을 계획합니다.

4. 프로덕션 환경에서 새 에이전트를 롤아웃하고 AMA 기능에 대한 최종 테스트를 실행합니다.

5. MMA를 사용한 보안 이벤트와 같은 레거시 커넥터를 사용하는 데이터 커넥터의 연결을 모두 끊습니다. AMA를 사용한 Windows 보안 이벤트와 같은 새 커넥터를 실행 상태로 둡니다.

   레거시 MMA/OMS와 AMA 에이전트를 병렬로 실행할 수 있지만 각 데이터 원본이 하나의 에이전트만 사용하여 Microsoft Sentinel로 데이터를 보내도록 하여 중복 비용 및 데이터를 방지합니다.

6. Microsoft Sentinel 작업 영역을 검사하여 모든 데이터 스트림이 새 AMA 기반 커넥터를 사용하여 대체되었는지 확인합니다.

7. 레거시 에이전트를 제거합니다. 자세한 내용은 Azure Log Analytics 에이전트 관리를 참조하세요.

프로덕션 롤아웃의 경우 각 데이터 원본에 대해 AMA를 구성하는 것이 좋습니다. 중복 문제를 해결하려면 Azure Monitor 설명서에서 관련 FAQ를 참조하세요.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.

• Azure Monitor 에이전트 개요
• Log Analytics 에이전트에서 마이그레이션
• Windows 에이전트 기반 연결